AGDLP est une stratégie de gestion des permissions dans Active Directory qui suit une hiérarchie logique et structurée pour attribuer des droits d'accès aux dossiers partagés. Elle représente les étapes suivantes :
- A = Account (Comptes utilisateurs)
- G = Global group (Groupes globaux)
- D = Domain Local group (Groupes domaine local)
- P = Permissions (Permissions sur les ressources)
✓ Flexibilité : Modification facile des permissions sans toucher aux ressources
✓ Scalabilité : Gestion simplifiée avec de nombreux utilisateurs
✓ Maintenabilité : Structure claire et documentée
✓ Délégation : Responsabilités bien réparties
✓ Sécurité : Respect du principe du moindre privilège
✓ Traçabilité : Audit simplifié des accès
┌─────────────────────────────────────────────────────────┐
│ DOSSIER PARTAGÉ RÉSEAU │
│ (\\Serveur\Partages\Ressource) │
└──────────────────┬──────────────────────────────────────┘
│
│ Permissions appliquées
▼
┌──────────────────────┐
│ Groupe Domaine │
│ Local (GDL) │
│ Read / Read+Write │
└──────────┬───────────┘
│
Membres du groupe GDL
│
┌──────────▼───────────┐
│ Groupes Globaux │
│ (GG) du domaine │
└──────────┬───────────┘
│
Membres des groupes GG
│
┌──────────▼───────────┐
│ Comptes Utilisateurs│
│ (Accounts) │
└──────────────────────┘
Les utilisateurs individuels dans Active Directory.
Exemples :
├── alice.dupont
├── bob.martin
├── charlie.bernard
└── diana.leclerc
Bonnes pratiques :
- Ne jamais assigner les permissions directement à un compte utilisateur
- Un utilisateur ne doit pas être ajouté manuellement à un groupe GDL
- Toujours passer par les groupes globaux
Groupes créés au niveau du domaine, regroupant les utilisateurs par fonction ou projet.
Exemples :
├── GG_Comptabilite
└── GG_Secretariat
Caractéristiques :
- Scope = Domain Local (limité au domaine)
- Peuvent contenir des comptes utilisateurs
- Sont ensuite ajoutés aux groupes GDL
- Spécifiques à une fonction ou un projet
Groupes créés localement, qui reçoivent les permissions sur les ressources.
Exemples :
├── GDL_Partage_Comptabilite_RO (Read Only)
├── GDL_Partage_Comptabilite_RW (Read + Write)
└── GDL_Partage_Secretariat_RO (Read Only)
Caractéristiques :
- Scope = Domain Local
- Contiennent les groupes globaux
- Reçoivent les permissions sur les ressources
- Suffixes : _RO (Read Only) ou _RW (Read + Write)
Permissions appliquées directement sur les dossiers partagés ou imprimantes.
Exemple sur le dossier \\Serveur\Partages\Comptabilite
GDL_Partage_Comptabilite_RO → Lecture seule
GDL_Partage_Comptabilite_RW → Modification complète
Comptabilité :
✓ alice.dupont existe dans AD
✓ bob.martin existe dans AD
Secrétariat :
✓ charlie.bernard existe dans AD
✓ diana.leclerc existe dans AD
Groupe Global 1 : GG_Comptabilite
Membres :
├── alice.dupont
└── bob.martin
Groupe Global 2 : GG_Secretariat
Membres :
├── charlie.bernard
└── diana.leclerc
Groupe GDL 1 : GDL_Partage_Comptabilite_RW
└── Membres : GG_Comptabilite
Groupe GDL 2 : GDL_Partage_Comptabilite_RO
└── Membres : GG_Secretariat
Dossier : \\Serveur\Partages\Comptabilite
Permissions NTFS :
├── GDL_Partage_Comptabilite_RO → Lecture seule (Secrétariat)
└── GDL_Partage_Comptabilite_RW → Modification (Comptabilité)
DOSSIER PARTAGÉ COMPTABILITÉ
\\Serveur\Partages\Compta
▲
│
Permissions NTFS
│
┌────────────┴────────────┐
│ │
│ │
┌─────────┴──────────┐ ┌──────────┴─────────┐
│ GDL_Partage_ │ │ GDL_Partage_ │
│ Comptabilite_RO │ │ Comptabilite_RW │
│ (Lecture seule) │ │ (Lecture+Écriture) │
└─────────┬──────────┘ └──────────┬─────────┘
│ │
│ Contient │ Contient
│ │
┌─────────┴──────────┐ ┌──────────┴─────────┐
│ GG_Secretariat │ │ GG_Comptabilite │
└─────────┬──────────┘ └──────────┬─────────┘
│ │
│ Contient │ Contient
│ │
┌─────────┴──────────┐ ┌──────────┴─────────┐
│ charlie.bernard │ │ alice.dupont │
│ diana.leclerc │ │ bob.martin │
└────────────────────┘ └────────────────────┘
Pour les groupes globaux (GG) :
- Nommer par fonction :
GG_Comptabilite - Nommer par projet :
GG_Projet_X - Nommer par département :
GG_RH
Pour les groupes domaine local (GDL) :
- Inclure le nom du partage :
GDL_Partage_Comptabilite - Ajouter le niveau d'accès :
_ROou_RW - Exemple complet :
GDL_Partage_Comptabilite_RO
Toujours :
✓ Utiliser les groupes GDL (jamais de groupes GG directement)
✓ Appliquer les permissions au niveau de la racine du partage
✓ Désactiver l'héritage si nécessaire
✓ Documenter les accès
Jamais :
✗ Appliquer directement sur un compte utilisateur
✗ Utiliser les groupes par défaut (Everyone, Authenticated Users)
✗ Octroyer des droits "Contrôle Total" systématiquement
✗ Oublier les permissions de partage (Share permissions)
| Groupe GDL | Permission NTFS | Droit Partage |
|---|---|---|
_RO (Read Only) |
Lecture seule | Lecture |
_RW (Read+Write) |
Modification | Modifier |
✓ Lister le contenu du dossier
✓ Lire les fichiers
✓ Afficher les propriétés
✗ Créer des dossiers/fichiers
✗ Modifier les fichiers
✗ Supprimer les fichiers
✓ Lister le contenu du dossier
✓ Lire les fichiers
✓ Créer des dossiers/fichiers
✓ Modifier les fichiers
✓ Supprimer les fichiers
✓ Changer les propriétaires
# Importer le module Active Directory
Import-Module ActiveDirectory
# ========== GROUPE COMPTABILITÉ ==========
# 1. Créer le groupe global - Comptabilité
New-ADGroup -Name "GG_Comptabilite" `
-GroupScope Global `
-GroupCategory Security `
-Description "Groupe global pour le département Comptabilité" `
-Path "OU=Groupes_Globaux,DC=oclock,DC=lan" `
-PassThru
# 2. Ajouter les utilisateurs au groupe global Comptabilité
Add-ADGroupMember -Identity "GG_Comptabilite" `
-Members "alice.dupont", "bob.martin"
# 3. Créer le groupe domaine local - Read + Write (Comptabilité)
New-ADGroup -Name "GDL_Partage_Comptabilite_RW" `
-GroupScope DomainLocal `
-GroupCategory Security `
-Description "Accès lecture + écriture - Partage Comptabilité" `
-Path "OU=Groupes_Domaine_Local,DC=oclock,DC=lan" `
-PassThru
# 4. Ajouter le groupe global Comptabilité au groupe GDL - Read + Write
Add-ADGroupMember -Identity "GDL_Partage_Comptabilite_RW" `
-Members "GG_Comptabilite"
# ========== GROUPE SECRÉTARIAT ==========
# 5. Créer le groupe global - Secrétariat
New-ADGroup -Name "GG_Secretariat" `
-GroupScope Global `
-GroupCategory Security `
-Description "Groupe global pour le département Secrétariat" `
-Path "OU=Groupes_Globaux,DC=oclock,DC=lan" `
-PassThru
# 6. Ajouter les utilisateurs au groupe global Secrétariat
Add-ADGroupMember -Identity "GG_Secretariat" `
-Members "charlie.bernard", "diana.leclerc"
# 7. Créer le groupe domaine local - Read Only (pour Secrétariat accès Compta)
New-ADGroup -Name "GDL_Partage_Comptabilite_RO" `
-GroupScope DomainLocal `
-GroupCategory Security `
-Description "Accès lecture seule - Partage Comptabilité" `
-Path "OU=Groupes_Domaine_Local,DC=oclock,DC=lan" `
-PassThru
# 8. Ajouter le groupe global Secrétariat au groupe GDL - Read Only (Compta)
Add-ADGroupMember -Identity "GDL_Partage_Comptabilite_RO" `
-Members "GG_Secretariat"
# ========== VÉRIFICATIONS ==========
# 9. Vérifier la structure créée
Write-Host "=== Groupe Global Comptabilité ===" -ForegroundColor Green
Get-ADGroup "GG_Comptabilite" | Get-ADGroupMember
Write-Host "`n=== Groupe Global Secrétariat ===" -ForegroundColor Green
Get-ADGroup "GG_Secretariat" | Get-ADGroupMember
Write-Host "`n=== GDL Comptabilité Read + Write ===" -ForegroundColor Cyan
Get-ADGroup "GDL_Partage_Comptabilite_RW" | Get-ADGroupMember
Write-Host "`n=== GDL Comptabilité Read Only ===" -ForegroundColor Cyan
Get-ADGroup "GDL_Partage_Comptabilite_RO" | Get-ADGroupMemberVérifier :
1. Utilisateur est membre du groupe global (GG)
2. Groupe global est membre du groupe GDL
3. Groupe GDL a les permissions sur la ressource
4. Les permissions de partage (Share) sont correctes
5. Redémarrer la session utilisateur
Vérifier :
1. Le groupe GDL a bien les permissions
2. L'héritage n'est pas bloqué
3. Les permissions explicites remplacent les héritées
4. Vérifier les permissions "Refuser"
Maintenir un tableau de suivi :
| Ressource | GG | GDL RO | GDL RW | Permissions | Responsable |
|---|---|---|---|---|---|
| Comptabilité | GG_Compta, GG_Secretariat | GDL_Compta_RO | GDL_Compta_RW | Lecture/Modif | IT Admin |
Version : 1.0
Dernière mise à jour : 2026
Domaine : Active Directory Windows Server